WordPressでドラッグ&ドロップによるフォーム作成機能を提供するプラグイン「Form Maker by 10Web」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.15.35 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者がフォームを通じて悪意あるファイルをアップロードし、管理者やサイト訪問者のブラウザ上で不正なスクリプトが実行される可能性があります。
対策として、バージョン 1.15.36 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、フォームのファイルアップロード機能において、アップロードを許可するファイル形式のチェックが不十分であったことに起因します。
その結果、スクリプトを埋め込んだSVG形式の画像ファイルがサーバーに保存され、閲覧時に不正なプログラムが実行される状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
不正なスクリプト実行による影響
- 管理者がフォーム送信データを閲覧した際、ブラウザ上で攻撃者のスクリプトが実行される
- アップロードされたファイルがサイト上で表示される場合、サイト訪問者も同様に影響を受ける可能性がある
- 管理者のセッション情報(Cookie)が窃取され、アカウントが乗っ取られるおそれ
被害発生の条件
- 攻撃者がファイルアップロード欄を含むフォームにアクセスできること
- ログインや特別な権限は不要で、公開されているフォームから攻撃が可能
技術的な詳細
本脆弱性は、ファイルアップロード時の検証処理において、以下の問題があったことが原因です。
プラグインの初期設定では、アップロード可能なファイル形式にSVG(Scalable Vector Graphics)が含まれていました。SVGはXMLベースの画像形式であり、ファイル内部にJavaScriptコードを記述することが可能です。
修正前のコードでは、ファイルの拡張子のみを確認しており、ファイルの実際の内容を示す形式情報(MIMEタイプ)を検証していませんでした。
そのため、悪意あるスクリプトを含むSVGファイルがそのままサーバーに保存され、
閲覧時にスクリプトが実行される状態となっていました。
対策版では、ファイルの内容を検査し、SVG形式のファイルはアップロードを拒否する処理が追加されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.15.36 以降)へ更新してください。
- 不審なファイルの確認
- WordPressのアップロードフォルダ(通常は /wp-content/uploads/)内に、
意図せずアップロードされたSVGファイル(拡張子 .svg)が存在しないか確認してください。 - Form Makerの管理画面「Submissions」から、ファイルアップロードを含む送信データに不審なSVGファイルが添付されていないか確認してください。
- 不審なファイルが見つかった場合は、該当ファイルを削除してください。
- WordPressのアップロードフォルダ(通常は /wp-content/uploads/)内に、
- 今後の予防策
- フォームでファイルアップロードを許可する場合は、許可する拡張子を必要最小限に設定してください。
- SVG形式が業務上不要であれば、許可リストから除外することを推奨します。
⇒不審なファイルや意図しない動作が確認された場合は、WordPressの専門家への相談を推奨します。
影響を受けるバージョン
Form Maker by 10Web 1.15.35 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1065 
/ RESERVED(2026年2月3日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1065 悪用確率 0.03% (上位92%) 2026年2月3日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Form Maker by 10Web プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
